Vulnerabilidad en IIS genera condición DoS

Se recomienda a los administradores de sistemas actualizar a la brevedad

Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética, el Centro de Respuesta a Incidentes de Seguridad de Microsoft lanzó una alerta de seguridad por una condición de denegación de servicio (DoS) contra Internet Information Services (IIS), el conjunto de servicios para el sistema operativo Windows.  

Los expertos en seguridad en redes mencionan que el problema existe debido a la forma en la que el servidor IIS administra las solicitudes HTTP/2, lo que puede conducir a una denegación del servicio. “Un atacante podría enviar un valor de SETTINGS muy alto y hacer que el consumo de recursos del servidor incremente hasta niveles insostenibles, derivando en la denegación de servicios.  

Los servidores IIS incluidos en Windows 10 y Windows Server 2016 son afectados por el error al procesar estas solicitudes; una actualización ya ha sido lanzada, misma que permite establecer el límite en SETTINGS HTTP/2 que cada servidor puede administrar. Este elemento no fue establecido de forma predeterminada por Microsoft.

La compañía menciona que, bajo algunas circunstancias, los servidores IIS que procesan estas solicitudes pueden incrementar el uso de las capacidades de procesamiento hasta el 100%, con lo que los sistemas se ralentizan o, en el peor de los casos, son bloqueados por completo.

Los especialistas en seguridad en redes comentan que, además de lo que se menciona en la alerta de seguridad de Microsoft, se desconocen detalles adicionales sobre la vulnerabilidad.

Las solicitudes HTTP/2 permiten a los clientes especificar un número de frames. En algunos casos, una configuración excesiva puede desestabilizar los servicios y producir un incremento en el uso del CPU hasta que se agotan los tiempos de espera y se cierra una conexión.

La vulnerabilidad fue corregida implementando la capacidad de definir límites en la cantidad de parámetros SETTINGS incluidos en una solicitud HTTP/2 que un servidor de IIS pueda administrar.

Se recomienda a los administradores de sistemas instalar las actualizaciones a la brevedad para mitigar los riesgos de entrar en una condición DDoS.

(Visited 380, 1 times)